主要プラットフォームが採用するOWASPセキュリティ基準 - Google、Microsoft、Salesforce、Slackの事例から学ぶ
OWASPをWebアプリケーション開発におけるセキュリティ審査の基準として、主要なプラットフォームが採用している事例をご紹介します。
OWASP (Open Web Application Security Project) は、ソフトウェアやWebアプリケーションのセキュリティ向上を目的とした国際的な非営利団体です。2001年に設立され、誰でも自由に利用できるオープンな知識やツールを提供している点が特徴です。世界中のセキュリティ専門家や開発者がボランティアとして参加し、ガイドライン、テストツール、教育資料などを公開しています。OWASPは特定の製品やベンダーに依存せず、中立的な立場から最新の脅威や対策をまとめるため、企業や組織がセキュリティ体制を強化する際の標準的な指針として広く活用されています。
OWASP Top 10は、Webアプリケーションにおける代表的なセキュリティリスクを10項目にまとめたリストで、OWASPが数年ごとに更新・公開しています。これはセキュリティ業界で最も広く参照されるドキュメントの一つであり、開発者や企業がまず対応すべき脆弱性を明確に示しています。例えば、SQLインジェクションや認証の不備、機密データの露出など、実際の攻撃事例をもとに重要度が高いものから選定されています。Top 10は単なるチェックリストではなく、リスク理解と改善活動の出発点として利用されるべきもので、セキュアな開発・運用を進めるための必須リファレンスとなっています。
OWASP ASVS (Application Security Verification Standard) は、Webアプリケーションやサービスのセキュリティ検証を体系的に行うための国際的な標準規格です。Top 10が「脆弱性の分類リスト」であるのに対し、ASVSはより具体的なセキュリティ要件をレベルごとに整理しています。例えば、レベル1は基本的なセキュリティ対策を求め、レベル2・3ではより高いセキュリティ保証を必要とするシステムに適用されます。ASVSは開発時のセキュリティ要件定義、コードレビュー、ペネトレーションテストの基準として利用されることが多く、組織がセキュリティ品質を客観的に示す上で強力な枠組みとなっています。
Security Assessment - Google Cloud Platform Console ヘルプでは、以下のように説明されています。
Security Assessment
To maintain the security of Google user’s data, apps that request access to restricted scopes need to undergo an annual security assessment. This assessment verifies that the app can securely handle data and delete user data upon request. Upon successfully passing the security assessment, the app will be awarded a “Letter of validation” (LOV) from the security assessor, indicating its ability to handle data securely.
To improve and standardize our security assessment process, we implemented the App Defense Alliance and the Cloud App Security Assessment framework (CASA).
Key features of the security assessment framework:
- Standardized requirements based on the OWASP’s app Security Verification Standard (ASVS) allowing more automated testing and faster remediation.
Microsoft 365 Certification framework overview - Microsoft 365 App Certification | Microsoft Learnでは、以下のように説明されています。
Penetration testing requirements Penetration testing reports will be reviewed to ensure there are no vulnerabilities that meet the following automatic failure criteria outlined in the controls below.
| Criteria Type | Penetration test controls |
|---|---|
| General criteria | Web application penetration testing MUST include all vulnerability classes; for example, the most current OWASP Top 10 or SANS Top 25 CWE. The recommendation is that this is detailed within the penetration testing report otherwise it will be difficult to demonstrate. |
| Secure software development/deployment | Provide policies and procedures that support secure software development and include industry standards and/or best practices for secure coding. Such as Open Web Application Security Project (OWASP) Top 10 or SysAdmin, Audit, Network and Security (SANS) Top 25 Common Weakness Enumeration (CWE). |
Security Review Resources | ISVforce Guide | Salesforce Developersでは、以下のURLの記事にてOWASPについて言及されています。
Security Review Resources
These resources can help you prepare for the AppExchange security review.
Slack App Security Review | Slackでは、以下のように説明されています。
Things to consider while building your application:
-Be mindful of the OWASP Top 10 Vulnerabilities when creating your web application
では、なぜこれほど多くのプラットフォームがOWASPを基準として採用するのでしょうか。理由は大きく3つ考えられます。
これらの事例から明らかなように、現代のアプリケーション開発者にとってOWASPへの準拠はもはや他人事ではありません。具体的には、以下の取り組みが求められます。
Google、Microsoft、Salesforce、Slackといった巨大プラットフォームが、OWASPをセキュリティ審査の基準に採用している事実は、OWASPが現代のWebアプリケーション開発におけるセキュリティのベースラインであることを示しています。
日々の開発プロセスにOWASPの考え方を組み込み、安全で信頼性の高いアプリケーションをユーザーに届けていきたいですね。
以上、OWASPへの準拠事例について調査した、現場からお送りしました。